Могу ли я использовать GnuPG для проверки того, что файл не изменен и получен от правильного отправителя?
Давайте рассмотрим простой пример использования:
- У меня есть этот файл с некоторым важным содержанием, скажем, в файле .tar.gz.
- Я подписываю этот файл чем-то вроде GnuPG
- Я отправляю этот файл другому парню.
- Другой парень любит знать, что файл не был изменен человеком посередине, и что я был отправителем. Поэтому он использует тот же инструмент, чтобы проверить, что файл в порядке.
Может ли такой инструмент, как GnuPG, помочь здесь?
Примечание: два компьютера основаны на Linux, и командная строка хороша :)
/Спасибо
Это то, что я сделал.
Установка:
sudo aptitude install gnupg
Сгенерируйте ключ и экспортируйте его:
gpg --gen-key
gpg --export -a "Johan Simonsson" > public.key
Дали другому парню public.key на USB-флешке
Создал тестовый файл для воспроизведения и подписал его:
tar -cvzf test.tar.gz ~/.vim
gpg --output test.sig --detach-sig test.tar.gz
tar -cvzf file.tar.gz test.sig test.tar.gz
Другой парень импортирует ключ, который я дал ему, на USB-флешку.
gpg --import public.key
Затем я отправляю файл file.tar.gz другому парню, и он может проверить файлы, которые я ему отправляю, примерно так:
tar -xvzf file.tar.gz
gpg --verify test.sig test.tar.gz
И это похоже на правильное решение (так как ключи не везде)
Примечание. Или мы можем использовать серверы PGP для хранения ключей, но это уже другая тема.